付 俊 中國移動通信研究院安全技術(shù)研究所副主任研究員

彭 晉 中國移動通信研究院安全技術(shù)研究所所長

杜躍進 阿里巴巴集團安全部副總裁

1 引言

隨著網(wǎng)絡(luò)和計算機等技術(shù)的迅速發(fā)展，區(qū)塊鏈已成為當今的新技術(shù)和新熱點之一。區(qū)塊鏈目前已成為各個行業(yè)、各個領(lǐng)域的研究及應(yīng)用的熱點技術(shù)。區(qū)塊鏈除了應(yīng)用規(guī)模最大的比特幣以外，也不斷形成一定規(guī)模的其他領(lǐng)域應(yīng)用，包括供應(yīng)鏈金融、物流、信用和借貸、溯源等。但是，伴隨著區(qū)塊鏈的快速發(fā)展，其對應(yīng)的安全問題日益突出。例如，2018年4月25日，SMT智能合約整型溢出漏洞，導致在轉(zhuǎn)賬操作中，攻擊者可以在無實際支出的情況下獲得大額轉(zhuǎn)賬。各類安全事件層出不窮。因此，區(qū)塊鏈的安全問題逐漸成為關(guān)注的熱點。本文擬研究區(qū)塊鏈面臨的安全風險，并提出應(yīng)對策略。

2 區(qū)塊鏈概念及技術(shù)特點

2.1 區(qū)塊鏈的起源

區(qū)塊鏈技術(shù)起源于化名為中本聰（Satoshi Nakamoto）的學者在2008年發(fā)表的奠基性論文《比特幣：一種點對點電子的現(xiàn)金系統(tǒng)（Bitcoin：APeer-to-PeerElectronicCashSystem）》。

區(qū)塊鏈是支撐比特幣的底層關(guān)鍵技術(shù)。比特幣具有區(qū)塊鏈的特點，開放自治、安全可信，集體共識、公開透明。比特幣是一種數(shù)字貨幣，由計算機生成的一串串復(fù)雜代碼組成，且隨著比特幣總量地址的增加，新幣制造的速度會逐漸減慢。任何人都可以參與制造比特幣，以及在任意一臺接入互聯(lián)網(wǎng)的電腦上買賣比特幣。從技術(shù)角度來看，比特幣系統(tǒng)包括3層：上層為貨幣；中層鏈接為協(xié)議，即基于區(qū)塊鏈的資金轉(zhuǎn)賬系統(tǒng)；底層技術(shù)是區(qū)塊鏈，去中心化、分布式記錄的公開透明的交易記錄總賬，其交易數(shù)據(jù)全網(wǎng)節(jié)點共享，礦工負責記錄，全網(wǎng)進行監(jiān)督。

2.2 區(qū)塊鏈是一種新的信息處理和計算范式

區(qū)塊鏈技術(shù)提供了一種新型信息分布式處理架構(gòu)和計算范式：多個節(jié)點共同存儲數(shù)據(jù)，以保證數(shù)據(jù)不可篡改和最終一致性；且節(jié)點可不受干預(yù)地執(zhí)行預(yù)先提交的智能合約。區(qū)塊鏈利用區(qū)塊數(shù)據(jù)結(jié)構(gòu)存儲數(shù)據(jù)并將這些區(qū)塊以鏈的方式連接起來，利用節(jié)點上的共識算法來生成和更新數(shù)據(jù)，利用密碼學的方式保證數(shù)據(jù)存儲和傳輸?shù)陌踩?，利用腳本代碼組成的智能合約來編程和操作數(shù)據(jù)。

區(qū)塊鏈的技術(shù)特點包括：

（1）地位對等節(jié)點共同維護數(shù)據(jù)、建立信任：在區(qū)塊鏈系統(tǒng)中，通常沒有具備特權(quán)的集中控制節(jié)點；各節(jié)點地位平等、遵守共同的規(guī)則，共同建立、驗證、存儲和處理數(shù)據(jù)，保證數(shù)據(jù)不會丟失、不被篡改，并基于此形成信任關(guān)系。

（2）數(shù)據(jù)可靠性高，但處理效率低：區(qū)塊鏈依靠多復(fù)本保證系統(tǒng)的高可靠性，使用共識機制在大多數(shù)節(jié)點之間保證數(shù)據(jù)一致。

（3）適用于非實時記賬類場景，不適用于實時交易類應(yīng)用：共識過程中需要與其它節(jié)點通信和確認交易，而且單個區(qū)塊的數(shù)據(jù)表示能力弱、存儲空間較小，無法支持秒級的實時交易確認和事務(wù)處理；但區(qū)塊鏈的防篡改和共識機制非常適合于允許分鐘/小時級時延的記賬類應(yīng)用。

（4）使用密碼學技術(shù)提供安全保障：安全性是區(qū)塊鏈技術(shù)在各領(lǐng)域應(yīng)用的前提，數(shù)據(jù)防篡改、共識機制、輕量級驗證、用戶隱私保護、用戶權(quán)益認定等方面都需要現(xiàn)代密碼學技術(shù)提供保障。

（5）資源利用率較低：由于P2P通信、多點存儲數(shù)據(jù)，系統(tǒng)的存儲效率、網(wǎng)絡(luò)帶寬利用率較集中式系統(tǒng)低。

2.3 區(qū)塊鏈是多種技術(shù)的組合創(chuàng)新

區(qū)塊鏈是一種機制創(chuàng)新，是構(gòu)建信任體系的基礎(chǔ)設(shè)施：通過算法和機制，為本來缺乏信任又需要合作的實體之間建立信任關(guān)系。這是區(qū)塊鏈與傳統(tǒng)的分布式系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的本質(zhì)差別。就像互聯(lián)網(wǎng)實現(xiàn)了信息連接和交換一樣，區(qū)塊鏈有望實現(xiàn)價值連接和交換。因此，區(qū)塊鏈技術(shù)被認為是“價值互聯(lián)網(wǎng)”的基礎(chǔ)，受到了國家和產(chǎn)業(yè)界的熱切關(guān)注。

在技術(shù)方面，區(qū)塊鏈并沒有發(fā)明新的技術(shù)，而是恰當?shù)馗脑旌颓擅钸\用多種技術(shù)，形成組合創(chuàng)新。關(guān)鍵技術(shù)包括智能合約、共識機制、分布式存儲、安全技術(shù)等。

正是把這些合適的技術(shù)與全新的處理機制結(jié)合，區(qū)塊鏈技術(shù)適應(yīng)了新的社會協(xié)作需要，催生了區(qū)塊鏈產(chǎn)業(yè)的不斷發(fā)展。

3 區(qū)塊鏈幣種

隨著區(qū)塊鏈技術(shù)的運用和發(fā)展，在全球掀起一股區(qū)塊鏈風暴，作為區(qū)塊鏈的典型項目——加密數(shù)字貨幣更是充斥著互聯(lián)網(wǎng)的每一個角落。據(jù)統(tǒng)計，目前市場上已有1597種數(shù)字貨幣（統(tǒng)計數(shù)據(jù)來源于加密貨幣市值統(tǒng)計站點coinmarketcap.com），如比特幣、以太坊、比特幣現(xiàn)金、瑞波幣、萊特幣等。有的幣種已有廣泛的用戶基礎(chǔ)，而有的幣種因用戶數(shù)少而瀕臨消亡。

根據(jù)加密貨幣市值統(tǒng)計站點，目前市值排名前20的幣種如表1所示。

表1 區(qū)塊鏈加密貨幣市值top20的幣種

4 區(qū)塊鏈安全風險

4.1 區(qū)塊鏈安全風險總覽

區(qū)塊鏈的安全風險包括算法安全風險、協(xié)議安全風險、實現(xiàn)安全風險、使用安全風險、傳統(tǒng)網(wǎng)絡(luò)安全風險五大類。其中，前4類是由于區(qū)塊鏈特性而面臨的獨有的安全風險，最后一類是傳統(tǒng)的通常的安全風險。

4.2 算法安全風險

算法安全風險包括隨機數(shù)算法漏洞風險和量子計算抵抗風險。

（1）隨機數(shù)算法漏洞

區(qū)塊鏈中的算法曾經(jīng)出現(xiàn)過隨機數(shù)漏洞。對于區(qū)塊鏈而言，隨機算法十分重要，使用密碼學安全的隨機數(shù)（甚至是真隨機）來生成私鑰，對于大額資產(chǎn)來說，甚至應(yīng)考慮冷存儲的方式來離線、斷網(wǎng)的保管私鑰，但即便這樣還不夠，因為簽名也需要安全，簽名交易時同樣需要隨機數(shù)，該隨機數(shù)的品質(zhì)決定了私鑰的安全。但是，不同的幣種在實現(xiàn)各自隨機算法的過程不同，有的采用了瀏覽器服務(wù)器端隨機數(shù)函數(shù)Math.Random，有的采用鍵盤輸入或者鼠標點擊生成對應(yīng)函數(shù)，有的采用了單詞語句的方式等，進而導致隨機數(shù)算法漏洞，發(fā)生被攻擊事件。同時，區(qū)塊鏈中采用的非對稱加密算法可能會隨著數(shù)學、密碼學和計算技術(shù)的發(fā)展而變得越來越脆弱，進而導致算法本身的安全風險。此外，區(qū)塊鏈中的密碼算法在使用及實現(xiàn)過程中存在安全風險。由于區(qū)塊鏈大量應(yīng)用了各種密碼學技術(shù)，屬于算法高度密集工程，在實現(xiàn)上較容易出現(xiàn)問題。例如，NSA對RSA算法事先埋入后門漏洞，使其能夠輕松破解別人的加密信息。一旦爆發(fā)這種級別的漏洞，區(qū)塊鏈的基礎(chǔ)都將不再安全，后果極其可怕。另外，根據(jù)理論分析，如果在簽名過程中兩次使用同一個隨機數(shù)，就能推導出私鑰。

（2）量子計算抵抗

量子計算對現(xiàn)有公鑰密碼帶來了顛覆性的影響，將帶來算法安全風險。2017年，IBM宣布成功搭建和測試了兩種新機器，進行量子計算。

4.3 協(xié)議安全風險

協(xié)議安全風險包括共識機制協(xié)議攻擊風險和共識機制安全性證明。當前的區(qū)塊鏈技術(shù)中已經(jīng)出現(xiàn)了多種共識算法機制，最常見的有PoW、PoS、DPoS。其安全風險如下：

（1）共識機制協(xié)議攻擊

區(qū)塊鏈無論使用何種共識機制，都面臨著一定程度的協(xié)議攻擊問題，導致一定的安全風險。當區(qū)塊鏈的底層協(xié)議需要更新時，會出現(xiàn)某些節(jié)點無法獲取新版本或無法及時獲取新版本的問題，導致不同節(jié)點運行的協(xié)議版本不一致，進而帶來硬分叉與軟分叉的問題。分叉可能會影響整個區(qū)塊鏈系統(tǒng)的一致性，違背區(qū)塊鏈的防篡改性。

（2）共識機制安全性證明

區(qū)塊鏈中的共識機制是否能實現(xiàn)并保障真正的安全，需要更嚴格的證明和時間的考驗。

4.4 實現(xiàn)安全風險

實現(xiàn)安全風險包括：系統(tǒng)實現(xiàn)代碼漏洞帶來的安全風險；智能合約語言自身與合約設(shè)計，以及智能合約代碼都可能存在漏洞，帶來一定的安全風險；系統(tǒng)實現(xiàn)的業(yè)務(wù)設(shè)計缺陷導致的安全風險。具體包括如下27類：

（1）以太坊編程語言Solidity漏洞；（2）以太坊短地址漏洞；（3）交易順序依賴性；（4）時間戳依賴性；（5）可重入性攻擊；（6）TheDAO漏洞；（7）Parity多重簽名錢包合約漏洞；（8）Parity多重簽名錢包提款漏洞；（9）太陽風暴；（10）智能合約fallback函數(shù)；（11）智能合約遞歸函數(shù)（recursive）；（12）調(diào)用深度限制（calldepth）；（13）以太坊瀏覽器Mist；（14）區(qū)塊鏈節(jié)點漏洞；（15）日食攻擊（eclipse attack）；（16）Geth客戶端DoS攻擊漏洞；（17）浪子合約漏洞；（18）自殺合約漏洞；（19）貪婪合約漏洞；（20）遺囑合約漏洞；（21）挖礦中心化；（22）冷熱存儲誤用；（23）BEC智能合約batchTransfer函數(shù)漏洞；（24）智能合約proxytransfer函數(shù)整數(shù)溢出漏洞；（25）Equihash漏洞；（26）系統(tǒng)實現(xiàn)代碼漏洞；（27）系統(tǒng)業(yè)務(wù)設(shè)計缺陷。

4.5 使用安全風險

區(qū)塊鏈使用過程中，私鑰的生產(chǎn)、存儲、保管等帶來的安全風險。區(qū)塊鏈上的信息具有不可篡改性，其前提是私鑰是安全的。但是私鑰的保護存在一系列的安全風險，如私鑰托管容易造成監(jiān)守自盜以及黑客盜??；區(qū)塊鏈錢包的口令存在被恢復(fù)的危險；私鑰一旦丟失，便無法對賬戶的資產(chǎn)做任何操作；私鑰一旦被黑客拿到，就能轉(zhuǎn)移數(shù)字貨幣。

目前，普遍采用的私鑰存儲方案是由區(qū)塊鏈系統(tǒng)中每個用戶自行將私鑰加密后保管在用戶設(shè)備上，但無法抵抗攻擊者在獲取用戶設(shè)備后對其使用的離線字典攻擊，因此區(qū)塊鏈面臨私鑰被竊取的風險。私鑰一旦丟失即無法找回，用戶將無法對賬戶資產(chǎn)做任何操作，導致資產(chǎn)被盜。

4.6 傳統(tǒng)網(wǎng)絡(luò)安全風險

區(qū)塊鏈系統(tǒng)本身還面臨著病毒、木馬等惡意程序的威脅，大規(guī)模DDoS攻擊、DNS污染、路由廣播劫持等傳統(tǒng)網(wǎng)絡(luò)安全風險。具體地，攻擊者為了竊取數(shù)字貨幣可以采用BGP路由廣播劫持方法。另外，區(qū)塊鏈系統(tǒng)被攻擊者作為攻擊目標，通過發(fā)起DDoS攻擊導致區(qū)塊鏈系統(tǒng)暫時無法提供服務(wù)。可分為BGP路由廣播劫持風險和偽造數(shù)字簽名風險。

（1）BGP路由廣播劫持

攻擊者在入侵云服務(wù)之后，向其對等網(wǎng)絡(luò)發(fā)出了假的路由廣播，對等網(wǎng)絡(luò)不疑有假，接受了路由通知，導致數(shù)字貨幣網(wǎng)站域名的一部分流量重定向到釣魚網(wǎng)站，導致安全風險。

（2）偽造數(shù)字簽名

攻擊者通過病毒偽造企業(yè)的數(shù)字簽名，避開軟件查殺，同時竊取用戶比特幣、門羅幣等主流虛擬貨幣的數(shù)據(jù)信息，并利用用戶電腦瘋狂挖礦，生產(chǎn)門羅幣，而且還會通過遠程操控伺機對用戶進行勒索，導致安全風險。

5 區(qū)塊鏈安全應(yīng)對策略

面對區(qū)塊鏈的安全風險，亟需采取有針對性的手段措施，構(gòu)建區(qū)塊鏈安全保障體系，為區(qū)塊鏈健康發(fā)展做出保證?；谝陨蠀^(qū)塊鏈安全風險分析，提出以下應(yīng)對策略：

（1）算法方面。應(yīng)盡可能的使用密碼學安全的隨機數(shù)生成器來生成隨機數(shù)，從安全級別的角度上講：內(nèi)核態(tài)（/dev/urandom）優(yōu)于應(yīng)用態(tài)（各種高級語言或庫中自行實現(xiàn)的SecureRandom），更優(yōu)于各種瀏覽器中自行封裝的SecureRandom解決方案（瀏覽器提供密碼學安全的隨機數(shù)由谷歌在2011年發(fā)起，并未久經(jīng)考驗，并且瀏覽器廠商太多，各自的實現(xiàn)方式不一定足夠安全）；可使用RFC6979規(guī)范來生成隨機數(shù)；加強智能合約算法的形式化驗證過程。

（2）實現(xiàn)方面。業(yè)務(wù)設(shè)計方面，加強區(qū)塊鏈系統(tǒng)實現(xiàn)的業(yè)務(wù)邏輯設(shè)計安全性；代碼層面，加強實現(xiàn)代碼的安全審計，避免不安全的JNI、空指針解引用、反射性跨站腳本、流資源未釋放、類的構(gòu)造函數(shù)未對成員進行初始化、易誤用的身份認證等代碼漏洞；針對智能合約和區(qū)塊鏈系統(tǒng)的漏洞，應(yīng)增強智能合約業(yè)務(wù)的實現(xiàn)邏輯的安全審計，同時對智能合約業(yè)務(wù)及區(qū)塊鏈系統(tǒng)的實現(xiàn)代碼進行安全審計。

（3）使用方面。提高區(qū)塊鏈使用過程中私鑰的生產(chǎn)、存儲、保管的安全性，如可以加強私鑰產(chǎn)生的算法，來提高私鑰自身的安全性；可以采用高安全性的存儲方式，來降低私鑰被泄露的風險。

（4）網(wǎng)絡(luò)方面。對網(wǎng)絡(luò)傳輸過程進行加密，防止流量竊取或劫持，如強制使用https傳輸，而不是http協(xié)議進行傳輸；加強網(wǎng)絡(luò)數(shù)據(jù)中傳輸?shù)挠行?、合理性、安全性進行驗證，減少某些漏洞利用導致的數(shù)據(jù)錯誤；每個節(jié)點加強網(wǎng)絡(luò)安全性，對于重要操作和信息做必要的驗證。

（5）管理方面。除了以上技術(shù)方面要進行安全加強以外，同時要管理好人，防止人為因素導致的泄露、內(nèi)部威脅等。

6 結(jié)束語

本文闡述了區(qū)塊鏈的概念和技術(shù)特點以及區(qū)塊鏈幣種，重點梳理分析了算法安全風險、協(xié)議安全風險、實現(xiàn)安全風險、使用安全風險、傳統(tǒng)網(wǎng)絡(luò)安全風險5個方面的區(qū)塊鏈安全風險，并從技術(shù)和管理等方面提出了區(qū)塊鏈安全應(yīng)對策略，為區(qū)塊鏈健康安全發(fā)展提供解決思路。